CRYPTREC暗号リスト|情報処理安全確保支援士試験 令和元年 秋期午前Ⅱ試験 問8

出典:令和元年秋期 午前Ⅱ 問8 分野:セキュリティ / 情報セキュリティ
総務省及び経済産業省が策定した"電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)"を構成する暗号リストの説明のうち,適切なものはどれか。
  • ア:推奨候補暗号リストとは,CRYPTRECによって安全性及び実装性能が確認された暗号技術のうち,市場における利用実績が十分であるか今後の普及が見込まれると判断され,当該技術の利用を推奨するもののリストである。
  • イ:推奨候補暗号リストとは,候補段階に格下げされ,互換性維持目的で利用する暗号技術のリストである。
  • ウ:電子政府推奨暗号リストとは,CRYPTRECによって安全性及び実装性能が確認された暗号技術のうち,市場における利用実績が十分であるか今後の普及が見込まれると判断され,当該技術の利用を推奨するもののリストである。
  • エ:電子政府推奨暗号リストとは,推奨段階に格下げされ,互換性維持目的で利用する暗号技術のリストである。
解説

CRYPTREC暗号リストは、電子政府などで使う暗号技術について、安全性や実装性能を確認したうえで整理したリストです。

政府機関の情報システムで暗号化や電子署名を使う場合は、できるだけCRYPTREC暗号リストに掲載されているアルゴリズムを採用することが求められます。

リスト名 内容
電子政府推奨暗号リスト 安全性や実装性能が確認され、利用実績が十分にある、または今後の普及が見込まれるため、利用が推奨される暗号技術のリスト
推奨候補暗号リスト 安全性や実装性能は確認されており、今後、電子政府推奨暗号リストに掲載される可能性がある暗号技術のリスト
運用監視暗号リスト 推奨する状態ではなくなったが、互換性維持のために継続利用を容認する暗号技術のリスト

特に押さえたいのは、電子政府推奨暗号リストは「利用を推奨するもの」、推奨候補暗号リストは「将来推奨される可能性があるもの」、運用監視暗号リストは「互換性のために例外的に使うもの」という違いです。

運用監視暗号リストにある暗号技術は、互換性を保つ目的での利用は認められますが、新しく積極的に使うことは推奨されません。

つまりCRYPTREC暗号リストは、「政府機関などが安全な暗号技術を選ぶための目安」であり、3つのリストは暗号技術の推奨度や扱いの違いを示していると考えると分かりやすいです。

したがって、が適切です。

❌他選択肢が誤りの理由
ア:推奨候補暗号リストとは,CRYPTRECによって安全性及び実装性能が確認された暗号技術のうち,市場における利用実績が十分であるか今後の普及が見込まれると判断され,当該技術の利用を推奨するもののリストである。
⇒これは電子政府推奨暗号リストの説明です。推奨候補暗号リストは、安全性及び実装性能が確認され、今後、電子政府推奨暗号リストに掲載される可能性がある暗号技術のリストです。
イ:推奨候補暗号リストとは,候補段階に格下げされ,互換性維持目的で利用する暗号技術のリストである。
⇒互換性維持などの目的で継続利用を容認する暗号技術は、運用監視暗号リストに該当します。推奨候補暗号リストは、格下げされた暗号技術のリストではありません。
エ:電子政府推奨暗号リストとは,推奨段階に格下げされ,互換性維持目的で利用する暗号技術のリストである。
⇒電子政府推奨暗号リストは、利用を推奨する暗号技術のリストです。互換性維持目的で継続利用を容認する暗号技術は、運用監視暗号リストに分類されます。
TSUNAGARU-ADVICE

まず押さえたいこと

CRYPTREC暗号リストのうち、電子政府推奨暗号リストは、CRYPTRECによって安全性及び実装性能が確認され、市場での利用実績が十分である、又は今後の普及が見込まれると判断された暗号技術のリストです。つまり、利用を推奨する暗号技術のリストです。

迷ったときの判断軸

推奨候補暗号リストは、今後、電子政府推奨暗号リストに掲載される可能性がある候補の暗号技術です。一方、互換性維持などを目的として継続利用を監視するものは運用監視暗号リストです。したがって、利用を推奨する中心的なリストは電子政府推奨暗号リストと判断しましょう。

科目Bにつなげるために

科目Bでは、暗号方式を選定するときに、安全性だけでなく、標準化、実装性能、利用実績、将来の移行可能性を考慮する場面があります。CRYPTREC暗号リストは、組織が暗号技術を選ぶ際の信頼できる判断材料として整理しておきましょう。